Jesús Aisa Díez
Queridos amigos, después de un cierto tiempo de “vacaciones” en la atención del blog, que han resultado más prolongadas que lo que inicialmente pensé, vuelvo a retomar el hábito de contactar, periódicamente, con aquellos que consideren oportuno conocer nuestras reflexiones sobre diversos aspectos relacionados con el control interno, bien para compartirlas o cuestionarlas. Lo importante es el debate.
En esta ocasión el tema que quisiera comentásemos, es el correspondiente a la difusión de los informes de auditoría, que como bien sabemos es donde se materializa el resultado de nuestro trabajo, por lo que debemos ser muy exigentes en su contenido, de forma que permita a sus receptores concluir con claridad y calidad sobre los aspectos detectados, haciéndose necesario atender a los requerimientos de: precisión, objetividad, concisión, utilidad, integridad y oportunidad, que nos recuerda la Norma 2420 del “libro de cabecera” de los auditores, el Marco Internacional para la Práctica Profesional de Auditoría interna (MPPAI).
Pero sabiendo cómo debemos redactarlos, nos quedaría por decidir a quiénes se los entregamos, ya que dependiendo de su distribución podremos esperar una mayor o menor eficacia en el resultado del trabajo realizado. En este sentido nuevamente el MPPAI nos orienta adecuadamente, pero dejándonos grandes grados de libertad a la hora de decidir los destinatarios finales, pues la Norma 2440, Difusión de los resultados, solo nos indica que debemos entregarlos a las partes “apropiadas”. Pero sin precisar cuáles serían estas.
Esta pregunta puede parecer baladí, pero no lo es tanto, ya que, en mi experiencia, me he encontrado con dudas respecto si el responsable directo del ente auditado debe ser receptor directo de los informes, o lo debe ser solo su superior jerárquico, la alta dirección y el Consejo. De forma que el gerente auditado sea conocedor de los resultados del proceso de su responsabilidad supervisado, por la copia que le entregue su superior.
Esta forma de proceder la consideramos inapropiada, no solo desde una perspectiva personal, sino también interpretativa de la citada Norma 2440, ya que, según el Diccionario de la Lengua Española, el adjetivo apropiado, significa: Acomodado o proporcionado para el fin que se destina.
Surge entonces una nueva pregunta, ¿Cuál es fin perseguido?. La respuesta entendemos que es evidente: la modificación/mejora del proceso auditado; y quién estará en mejores condiciones de hacerlo que quien lo ejecuta. En nuestra opinión nadie, ya que este es quien conoce en detalle la forma de operar, y por consiguiente, las alternativas reales de que dispondremos.
Lo anterior, en modo alguno, presupone ninguna limitación en la distribución del informe a la cadena de mando del responsable auditado, pues son también partes interesadas y apropiadas, de las que dependerá, en muchas circunstancias, la aportación de los recursos para incidir en los planes de actuación que se consideren apropiados para superar las debilidades evidencias en la auditoría.
Otro aspecto que también debe contemplarse por los responsables de la Unidades de Auditoría Interna, en el momento de decidir la distribución de los informes, es el correspondiente a la entrega de los mismos a partes ajenas a la organización.
En este punto la Norma 2440 A2, es suficientemente clara, ya que, salvo que exista regulación, obligación legal, estatutaria que así lo establezca, el Director de Auditoría Interna, debe: (i) evaluar el riesgo potencial para la organización, (ii) consultar con la alta dirección o consejero legal y (iii) controlar la difusión, restringiendo la utilización de los resultados.
En cualquier caso, y siempre que nos encontremos en una situación en la que entendiésemos que deberíamos comentar los resultados de las auditorías a partes ajenas, por encontrarnos por ejemplo con situaciones de índole legal, entendemos que esta debería ser comunicada directa, y reservadamente, al Presidente del Comité de Auditoría, para que sea este quien decida la actuación a realizar, dada su calidad de máximo responsable de la supervisión del control interno de la organización, pues no olvidemos que el Comité es nuestro responsable funcional, por lo que ante una situación “comprometida”, no debemos actuar aisladamente, compartámosla con quien tiene capacidad de decisión.
Esperando que estas reflexiones puedan ser de interés, y con la intención de seguir manteniendo el contacto habitual por esta vía de comunicación, quedo a su disposición. Un saludo
Jesús Aisa Díez. Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting. Para mayor información visita el Blog de Don Jesús “Auditoría Interna del Siglo XXI”.
¿Te ha gustado el post? ¡Dejamos saber tu opinión a través de un comentario!
No hay comentarios:
Publicar un comentario